Apple : en trois mois, cinq hackers dénichent 55 bugs et gagnent 288 500 dollars de récompense

09 octobre 2020 à 16h13
13

D’abord rémunérés 51 500 dollars, la médiatisation de leur histoire a poussé Apple à sortir le chéquier pour accorder une rétribution un peu plus conséquente…

Si vous êtes doué en informatique et que vous envisagiez de mettre à profit vos compétences dans des programmes de primes aux bugs, l’histoire de cinq pirates informatiques ayant amassé 288 500 dollars en trois mois de travail pour Apple devrait vous intéresser. Mais au départ, leurs émoluments étaient nettement moins conséquents.

55 vulnérabilités trouvées, certaines très critiques

Leur nom : Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb, Tanner Barnes. À l’origine, les cinq individus considéraient cette activité de recherche de bugs comme un moyen de glaner un peu d’argent supplémentaire pendant leur temps libre. Mais au fil des semaines, cette occupation est devenue une vraie besogne.

« Lorsque nous avons commencé ce projet, nous n'avions aucune idée du fait que nous allions passer un peu plus de trois mois pour le mener à bien », rapporte Sam Curry. « À l'origine, il devait s'agir d'un projet parallèle sur lequel nous travaillions de temps en temps, mais avec tout le temps libre supplémentaire que nous avons eu pendant la pandémie, nous avons fini par y consacrer quelques centaines d'heures ».

Pour Apple, l’équipe a déniché plus d’une cinquantaine de vulnérabilités, 55 pour être précis, dont certaines potentiellement très dangereuses. L’une permettait l’introduction d’un ver informatique capable de dérober automatiquement toutes les photos, vidéos et documents d’un compte iCloud. Une autre donnait la possibilité d’accéder aux codes sources d’Apple de plusieurs centaines d’application…

Vertueusement, les cinq pirates ont rapporté tous ces bugs à Apple qui s’est bien sûr empressé de les corriger. En guise de dédommagement, la marque à la pomme leur avait initialement reversé 55 100 dollars.

Finalement, Apple augmente la prime versée

Si cela représente une somme déjà conséquente, vous l’imaginez, elle est carrément dérisoire pour Apple et finalement assez peu élevée par rapport au travail fourni, à la fois en matière de temps consacré à cette tâche et des compétences requises.

Un rapide petit calcul donne un bon aperçu : 5 personnes, 55 vulnérabilités trouvés, 55 100 dollars, cela correspond environ à 200 dollars par faille trouvée par personne. Ramené sur trois mois, c’est donc un salaire d’à peine 3 675 dollars par tête.

Selon Dan Tentler, le fondateur de la société de sécurité Phobos, ce montant est « incroyablement bas ». Il explique : « 50 000 dollars est le montant que je m'attends à voir dans une évaluation de sécurité de deux à quatre semaines, mais les problèmes découverts par ces personnes incroyablement talentueuses valent des ordres de grandeur plus importants. Imaginez qu'un acteur malveillant découvre ces problèmes. Imaginez l'ampleur des dégâts. Apple signale que tout cela ne vaut que 50 000 dollars pour eux. Pour moi, c'est de la folie, et cela contredit toutes leurs énormes campagnes de marketing public sur la façon dont ils prennent la vie privée et la sécurité au sérieux ».

Depuis, Apple a octroyé davantage d’argent. La somme s’élève désormais à 288 500 euros. Sam Curry précise que l’entreprise leur a payé des récompenses pour 32 des 55 bugs signalés.

Des programmes « bug bounty » qui entraînent une certaine paupérisation ?

Toujours est-il que cette histoire en dit long sur ces programmes de « bug bounty », cadre dans lequel s’inscrit l’Apple Bug Bounty lancé il y a quatre ans. Pour les experts en cybersécurité, les recherches demandent souvent beaucoup d’investissement, et elles sont rarement payées à leur juste valeur. Sur Twitter, un ancien employé d’Apple s’amuse d’ailleurs du fait que « ces chasseurs sont vraiment une main-d'œuvre bon marché ».

Une situation dénoncée par le cabinet de conseil en cybersécurité Trail of Bits qui, dans un billet publié l’année dernière, s’insurgeait « qu’essayer de gagner sa vie en tant que programmeur en participant aux programmes de primes sur les bugs revient à se convaincre que l'on est assez bon au Texas Hold 'Em [Poker] pour quitter son emploi. »

Mais selon Katie Moussouris, spécialiste de ce genre de pratiques, « la vraie question est de savoir pourquoi Apple ne paye pas le même montant à des testeurs professionnels, en leur donnant la documentation technique au lieu de les laisser tâtonner et de leur faire perdre leur temps, afin qu’ils trouvent les mêmes choses voire plus en beaucoup moins de temps ».

Sources : Vice.com, SamCurry.net

13
11
Partager l'article :
Voir tous les messages sur le forum

Actualités récentes

Le navigateur gamer Opera GX propose de nouveaux thèmes et un outil de nettoyage
Devil May Cry 5 Special Edition : pas de ray-tracing pour la version Xbox Series S
Ambitieux, le Japon vise la neutralité carbone à 2050
Un utilisateur de crypto-monnaies déplace 1,15 milliard de dollars de Bitcoin (BTC)
Il y a du Cloud gaming sur Facebook, mais pas sous la forme d'un service
Test Bose QC Earbuds : d'excellents écouteurs, à un détail près
L'enceinte connectée Google Nest Mini à un excellent prix
Skype va très prochainement supporter les appels à 100
Pas moins de 500€ de réduction sur le vidéoprojecteur Mi 4K Laser 🔥
L'Italie ouvre une enquête sur les deepfakes de Telegram
scroll top